Antivirus napodobuje červ Phoney.A

Červ Phoney.A se šíří především prostřednictvím sdílení v síti a pokouší se oklamat uživatele pomocí falešných antivirových zpráv.

Červ Phoney.A kopíruje své vlastní soubory do sdíleného adresáře v každé síti a také zajišťuje, že se automaticky spustí, když jsou připojeny. Červ provádí v registru řadu změn. Výrazně oslabují ochranu počítačů a znepřístupňují nástroje jako Editor registru nebo Správce úloh.

Červ Phoney.A zobrazí falešné, ale velmi klamné okno Norton AntiVirus a poté zajistí, že se může načíst, i když se Windows spustí v nouzovém režimu. Další nepříjemnou a nepohodlnou funkcí malwaru je, že každou půl hodinu restartuje infikovaný počítač.

Když se spustí červ Phoney.A, provede následující akce:

1. Vytvořte následující soubory:
C: \ Documents and Settings \ All Users \ Start Menu \ Programs \ Startup \ Empty.pif
% Windir% \ Autorun.inf
% System% \ web.exe
% Windir% \ winxp.exe
% CurrentFolder% \ [název adresáře] .exe

2. V kořenovém adresáři každé připojené jednotky vytvořte následující soubory:
AUTORUN.INF
microsoft.exe

3. Přidejte do registrační databáze následující položky:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentV ersion \ Run „Bron“ = „% Windir% \ winxp.exe“
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon „Rontok“ = „Explorer.exe“% Windir% \ winxp.exe ””
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon „Userinit“ = „% System% \ userinit.exe,% Windir% \ winxp.exe“

4. Přidejte do registrační databáze následující položky:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Policies \ Explorer ”NoFolderOptions” = “1”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Policies \ System "DisableRegistryTools" = "1"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Policies \ System ”DisableTaskMgr” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced „Hidden“ = „4“
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced ”HideFileExt” = „1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced ”ShowSuperHidden” = „0”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer „NoClose“ = „1“
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer „NoDesktop“ = „1“
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer „Nofolderoptions“ = „1“
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Network „NoNetSetup“ = „1“
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System "DisableCMD" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System "DisableRegistryTools" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System "DisableTaskMgr" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System "NoDispCPL" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ WinOldApp "Disable =" 4 "
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ AeDebug ”Auto” = “” 1 ″ ”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows NT \ SystemRestore ”DisableConfig” = “1”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows NT \ SystemRestore ”DisableSR” = „1“
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ Installer ”DisableMSI” = „1”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ Installer ”LimitSystemRestoreCheckpointing” = „1”
HKEY_CLASSES_ROOT \ batfile \ shell \ open \ command ”(výchozí hodnota)” = “”% System% \ web.exe ”“% 1 ″% * ”
HKEY_CLASSES_ROOT \ comfile \ shell \ open \ command ”(výchozí hodnota)” = “”% System% \ web.exe ”“% 1 ″% * ”
HKEY_CLASSES_ROOT \ exefile ”(výchozí hodnota)” = „Složka souboru” = “”% System% \ web.exe ”“% 1 ″% * ”
HKEY_CLASSES_ROOT \ lnkfile \ shell \ open \ command ”(výchozí hodnota)” = „”% System% \ web.exe ”“% 1 ″% * ”
HKEY_CLASSES_ROOT \ piffile \ shell \ open \ command ”(výchozí hodnota)” = “”% System% \ web.exe ”“% 1 ″% * ”

5. Upravte registr tak, aby se načítal při spuštění systému Windows v nouzovém režimu, a to následovně:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Sa feBoot ”AlternateShell” = „% System% \ web.exe”

6. Restartujte počítač každou půl hodinu.

7. Zobrazí falešné okno se zprávou Norton AntiVirus.

8. Zavřete okna, která obsahují v záhlaví konkrétní slova.